Comparación de navegadores web seguros para empresas

[21/10/2022] El navegador web ha sido, durante mucho tiempo, el sumidero de seguridad de la infraestructura empresarial. Si bien el correo electrónico suele citarse como el punto de entrada más común, el malware suele ingresar a través del navegador y es más difícil de evadir. El phishing, los ataques drive by, el ransomware, las inyecciones de SQL, el hombre en el medio (MitM, por sus siglas en inglés) y otros exploits aprovechan la frágil interfaz de usuario del navegador y la enorme superficie de ataque, así como la credulidad de la mayoría de los usuarios finales.

[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]

Este último elemento es el problema: los humanos, y debemos protegernos contra nosotros mismos. Esto es especialmente cierto a medida que crece el uso de las aplicaciones SaaS, sin mencionar que cada elemento de hardware parece venir con un servidor web (y, por lo tanto, un navegador) para configurarlo. Gracias a la pandemia, estos casos de uso cuentan con la ayuda y la complicidad del creciente número de empleados que trabajan desde casa y que dependen de más aplicaciones basadas en un navegador.

Sí, los navegadores web tienen configuraciones de seguridad para proteger su privacidad y permitirle navegar por sitios de forma más anónima. Esta no es realmente una solución satisfactoria porque esta configuración, generalmente, dará como resultado más frustración en el usuario. Activar la configuración de seguridad evitará que sus usuarios realicen negocios en muchas páginas web, ya sea bloqueando las ventanas emergentes que se necesitan para navegar en algún sitio comercial, impidiendo que los formularios recopilen información importante o haciendo que su sesión de navegación sea miserable de alguna manera.

Brave, DuckDuckGo, RAV Online Security de ReasonLabs y otras firmas tienen navegadores más seguros para el consumidor, pero no son apropiados para las empresas. Son lo que yo llamaría navegadores "más seguros” o "más privados”. Algunos proveedores han tomado en serio las recomendaciones de Global Privacy Control y han desarrollado sus propias extensiones de navegador que ayudan a proteger su privacidad individual. Todos estos navegadores son mejores, pero aún no lo suficientemente buenos para usos comerciales.

En cambio, se necesita un tipo diferente de herramienta para administrar una colección de navegadores completa. Si bien algunos productos de seguridad para empresas abordan la seguridad del navegador (como las puertas de enlace web seguras, la ejecución de un navegador en un escritorio virtual, o el uso de un servicio de punto final administrado) no se enfocan en la experiencia de navegación total y no pueden detener muchos de los posibles vectores de amenazas. Ingrese al navegador seguro, que está disponible en varios tipos de configuraciones que pueden ayudar a los administradores de TI a controlar mejor cómo evitar que los atacantes se afiancen en nuestras redes.

Observamos cuatro navegadores en varios tipos de configuraciones:

• Appaegis Enterprise Web Access Browser
• TalonWork de Talon Cyber Security
• Advanced Browser Security de Perception Point
• Silo de Authentic8

Island tiene un producto, pero se negó a participar. Todos estos productos están construidos sobre el navegador Chromium de Google. Debido a su ubicuidad, los navegadores para empresas seguros tienen una exigente colección de características imprescindibles si van a ser considerados seriamente.

Consejos para evaluar navegadores web seguros

Antes de comenzar una evaluación, debe comprender cómo funcionan estos navegadores y cómo se administrarán. Primero, requieren una colección robusta y detallada de controles de seguridad para poder trabajar con la colección más amplia posible de páginas web y servicios en la nube. Esto debe suceder desde una plataforma de administración central que pueda aplicar un conjunto de reglas y políticas similares a las de un firewall en toda la población de usuarios. Esto incluye varias amplias categorías:

• Habilite la MFA, de forma predeterminada, al comienzo de cualquier sesión del navegador.
• Maneje controles de aislamiento, tanto con respecto a la sesión del usuario como para aislar cualquier aplicación de infecciones cruzadas. Esto significa controlar el movimiento de datos entre el navegador, su terminal particular y la aplicación o aplicaciones web involucradas.
• Controle el acceso a destinos web particulares, ya sea para permitir o bloquear este acceso.
• Detectar malware para bloquear phishing, man in the browser y otros ataques.
• Aplicar controles de prevención de pérdida de datos, que incluyen configuraciones del navegador como bloqueo de anuncios, filtrado de URL y dominios, bloqueo de impresión, operaciones de cortar y pegar y uso compartido de pantalla. Estos controles también deberían poder administrar las extensiones de su navegador de tal manera que un usuario no pueda anularlos o eludirlos.
• Habilitar varios tipos de herramientas de registro para ayudar en la reparación, o reconstrucción, en caso de ataques o destrucción de datos.
• Habilitar la navegación anónima para los momentos en que sea necesario, como proteger a los viajeros cuando se encuentran en lugares más totalitarios.
• Habilitar un espacio de almacenamiento de archivos protegido y seguro que se puede compartir entre un equipo de colaboradores.

En segundo lugar, cualquier navegador debe integrarse con los productos de seguridad existentes, como la gestión de identidades, la postura de seguridad de las aplicaciones en la nube, el inicio de sesión único (SSO, por sus siglas en inglés) y las VPN. Eso es mucho software para trabajar, sin duda, pero las empresas no quieren reinventar estas ruedas. Por ejemplo, Talon se integra con la protección contra malware Falcon de Crowdstrike y las cuatro herramientas se integran con varios proveedores de identidad a través de SAML o, en algunos casos, OAuth.

Luego, el navegador debe venir en varias opciones de empaque diferentes. El primero es soportar clientes "gruesos” de Windows y MacOS (lo que significa que normalmente usan una máquina virtual para separarlo del resto de su escritorio). Tenga en cuenta que pocos de estos productos ofrecen soporte adicional para clientes Android, iOS o Linux. Estos navegadores también deben tener un "cliente ligero” que pueda ejecutarse desde un servicio en la nube administrado, y una extensión del navegador que pueda agregar algunas de sus características de seguridad a lo que está ejecutando actualmente en su computadora de escritorio o dispositivo móvil. Nuestro cuadro de resumen enumera qué proveedor hace qué opción. Ningún proveedor cubre todas estas situaciones por completo, por lo que debe comprender los vacíos y el daño potencial que podrían provocar.

Si bien todos estos productos ejecutan versiones de Chrome diseñadas, generalmente emplean máquinas virtuales Linux. Eso podría ser un problema si está intentando ejecutar contenido web que no es compatible con Linux, como algunos servicios de transmisión. La buena noticia es que los navegadores seguros están cerca de la paridad con un navegador de escritorio estándar, y se ejecutan cerca de las versiones más recientes de Chrome, gracias a los resultados informados por el sitio HTML5test.com.

El mayor problema para implementar estos navegadores será la dotación de personal y el soporte. Esto comienza con la integración en sus otros productos de seguridad y la incorporación y capacitación de sus usuarios sobre cómo navegar por la web bajo el régimen más nuevo y, con suerte, más seguro. Esta será una carga significativa para sus propios recursos de soporte interno destinados a manejar las diversas llamadas a la línea de ayuda por parte de usuarios confundidos o frustrados cuando encuentran resultados inesperados en su experiencia de navegación. Nos encontramos con varias dificultades durante nuestras pruebas y tuvimos problemas para obtener respuestas oportunas de los cuatro proveedores.

Por último, está el precio. Espere pagar alrededor de 10 dólares mensuales por usuario para obtener las opciones de suscripción, con descuentos por cantidad disponibles. Solo un proveedor, Appaegis, tiene total transparencia de precios.

Comparación de navegadores web seguros

Enterprise Web Access Browser de Appaegis: Appaegis Enterprise Web Access Browser ofrece un cliente administrado de Windows y Mac que ejecuta una instancia de Linux Chrome Dev 101 dentro de su navegador local existente, pero en un ambiente protegido. Tiene una amplia colección de políticas, roles de acceso y aplicaciones que se configuran de manera similar a un firewall. La autenticación de factores múltiples (MFA, por sus siglas en inglés) es una opción, pero no está habilitada de manera predeterminada. También recopila registros sobre el acceso de los usuarios, las aplicaciones y otros detalles, y ofrece SSH y RDP seguros desde el navegador. Tiene un tablero principal que se parece mucho a una herramienta SSO para iniciar sus aplicaciones web protegidas.

Los precios son públicos y Appaegis ofrece versiones gratuitas y de pago, la última a partir de 10 dólares mensuales por usuario, tiene descuentos por cantidad. Hay integración de API con Okta, con los servicios de administración de identidades de Azure AD, y con CloudFormation de AWS. El navegador obtuvo la puntuación más alta de cualquier navegador seguro en el sitio HTML5test de 526.

Silo de Authentic8: Authentic8 ha estado en el negocio de los navegadores seguros durante más de ocho años y continúa mejorando su producto y ampliando su oferta de servicios. Puede proporcionar un aislamiento total bidireccional e integrarlo en sus flujos de trabajo existentes, además de proporcionar una amplia colección de políticas de seguridad que ofrecen un control detallado sobre la protección de sus aplicaciones y sus datos. Tiene un tablero principal que se parece mucho a una herramienta SSO para iniciar sus aplicaciones web protegidas.

Silo ofrece dos clientes para descargar: cliente grueso y cliente delgado. Ambos se pueden administrar de forma centralizada y a través de una conexión API, lo cual inicia sesiones basadas en Linux que ejecutan Chrome Dev 101.0.4951.49. El navegador recibió una puntuación de 474 (y la extensión obtuvo 476) de HTML5Test. Si bien el proveedor no reveló detalles de precios, existen dos planes disponibles: por usuario o por consumo por hora.

Seguridad avanzada del navegador de Perception Point: Perception Point adquirió Hysolate y ha incorporado sus funciones en su línea de productos de Advanced Browser Security. El software tiene una función de "rayos x” que detona automáticamente cualquier archivo adjunto en una caja de arena que ejecuta varias versiones de Microsoft Word para detectar amenazas potenciales. Esto sucede casi en tiempo real -en cuestión de segundos. El software viene como un cliente grueso gratuito para Mac y Windows o como un navegador administrado o una extensión que está disponible a partir de cinco dólares mensuales por usuario, tiene descuentos por cantidad.

El proveedor ha creado una demostración en línea de su tablero aquí. La colección de políticas de software no es tan rica como la que está disponible en Authentic8. Recibió una puntuación de 474 de HTML5Test, ejecutando Chrome 104 en Linux. Tuvimos problemas de estabilidad en nuestra Mac y tuvimos que reinstalar el software. Su cliente Mac no soporta la visualización de ningún contenido protegido, incluidas todas las películas de Netflix.

TalonWork de Talon Cyber Security: TalonWork viene solo como una versión de cliente grueso e incluye Windows y Mac. Android y iOS se esperan para finales de este año. Tiene un conjunto completo de funciones administradas que incluye funciones de prevención de pérdida de datos, registro extenso y muchas políticas y conjuntos de reglas. Al igual que algunos de los otros, usted puede configurar un inicio de sesión principal como una herramienta SSO para iniciar sus aplicaciones. Examinará la posición del terminal para asegurarse de que esté ejecutando la última versión del sistema operativo e identificará las extensiones de navegador riesgosas, o las URL restringidas que puede especificar. La compañía no revela los precios. La puntuación de HTML5Test fue de 476 y se ejecutó en un cliente MacOS Chrome 105 protegido.

Basado en el artículo de David Strom (CSO) y editado por CIO Perú